Защита WordPress от базовых угроз, вирусов и атак
Опубликовано: 01.09.2018
Безопасность и защита сайта от угроз и взлома. Урок 1. Виды уязвимостей: xss, csrf, sql injection
CMS WordPress является хорошо защищенной системой, но в любой системе можно найти уязвимые места. Разработчики WordPress стараются сделать защиту CMS более надежной с каждым новым выпуском, но злоумышленники также не сидят сложа руки. Поэтому, для защиты своего сайта от взлома, вирусов и атак вам придется принимать некоторые меры самостоятельно.
Я могу дать несколько практических советов по защите WordPress, которые помогут вам защитить WordPress сайт от базовых угроз, вирусов и атак .
Основные меры по защите WordPress
Защитить WordPress от базовых угроз не сложно, для этого достаточно предпринять некоторые меры. Для того, чтобы упростить поставленный задачи, я рекомендую воспользоваться плагином "Better WP Security".
После установки и активации плагина на WordPress, пройдите в админку сайта на страницу настроек "Better WP Security", и создайте резервную копию базы данных, на всякий случай.
Затем, для того чтобы позволить плагину производить изменения в файлах вашего сайта и движка, вы должны дать разрешение, нажатием на соответствующую кнопку.
На следующей станице, для того чтобы защитить сайт от базовых атак , необходимо включить эту опцию нажатием на соответствующую кнопку.
Но то еще не все. После того как вы выполните первые требования плагина, перед вами откроется таблица, в которой будут указаны все потенциальные точки уязвимости вашего сайта. Для защиты вашего WordPress сайта необходимо исправить все недочеты в защите.
Устранение уязвимостей WordPress
Перед вами откроется примерно следующая таблица уязвимостей, в которой красным цветом подсвечены критические уязвимости, а желтым и синим подсвечены не критические уязвимости, но их также нужно устранять.
Для примера, я взял стандартный незащищенный блог на WordPress. Давайте вместе устраним все известные нам уязвимости в WordPress.
1. Проверка сложности пароля для всех пользователей
Для того чтобы обеспечить сложными паролями всех пользователей, нужно исправить первую уязвимость. Пройдите по ссылке "Нажмите, чтобы исправить" и на открывшейся странице выберите пункт как на рисунке снизу "Strong Password Role - Subscriber". Тем самым, пароли всех ваших пользователей будут проходить проверку сложности.
2. Убираем дополнительную информацию из заголовка WordPress
WordPress по умолчанию публикует в заголовке сайта много дополнительной информации, которой могут воспользоваться злоумышленники. Для удаления подобной информации поставьте галочку в соответствующем поле. Но будьте внимательны, это действие может повлечь за собой неработоспособность некоторых приложений и сервисов, которые каким либо образом обращаются к вашему блогу через протокол XML-RPC.
3. Скрываем обновления от не администраторов
Третий пункт у нас в порядке, если у вас не так, то рекомендую вам скрыть доступные обновления от не администраторов. Вашим пользователям эта информация все равно будет бесполезной, а вот злоумышленники могут ею воспользоваться.
4. Поменять логин администратора
Аккаунт администратора WordPress по умолчанию имеет логин admin, и об этом все знают. Поэтому ваш сайт взломать проще. Для того чтобы усложнить взлом сайта, рекомендую переименовать ваш администраторский аккаунт. Для этого перейдите по ссылке "Кликните здесь, чтобы переименовать администратора" и введите новое имя администратора в соответствующее поле.
5. Поменяйте ID администратора
Аккаунту администратора по умолчанию присваивается и ID=1, что также заведомо известно злоумышленникам, поэтому этот параметр нужно поменять. Плагин better wp security поменяет ID администратора за один клик.
6. Поменять префикс таблиц базы данных WordPress
По умочанию таблицы базы данных WordPress имеют префикс wp_. Рекомендуется поменять префикс на любой другой. Даже если ваша база данных уже наполнена информацией, то плагин better wp security поменяет префикс таблиц вашей базы без потери данных. Рекомендовано перед этим действием сделать резервную копию базы данных, что мы и сделали в самом начале.
7. Спланируйте создание резервных копий
Для регулярного создания резервной копии вашей базы данных, задайте некоторые условия и введите ваш e-mail, куда будут отправляться копии базы данных. Тем самым вы в любое время сможете восстановить базу данных из копии, при необходимости.
8. Запретить доступ к админке в определенное время
Этот параметр не является критическим, но, все же, если вы переживаете за безопасность вашего WordPress сайта, то пожалуй стоит запретить хаотичный доступ к админке, и разрешить доступ только в определенное время, например в то время, когда вы собираетесь работать с сайтом.
9. Заблокируйте подозрительные хосты
Если вы знаете IP адреса подозрительных хостов, с которых может быть произведена атака на ваш сайт, то занесите эти IP адреса в бан лист, и доступ к сайту с этих IP будет закрыт.
10. Защитить логин от перебора
По умолчанию плагин защищает логин от перебора и после 3-х неудачных попыток блокирует IP адрес.
11. Скрыть админку WordPress
Этот пункт не является критическим, но все же будет полезно скрыть админку WordPress. Скрытие WordPress админки происходит путем переименования директории с админ панелью. Физически админ панель будет лежать в той же папке, но по адресу http://ваш_сайт.ru/wp-admin она будет недоступна.
Скройте админ панель WordPress, для этого введите новые имена для директорий в соответствующие поля и поставьте галочку для включения данной опции.
12. Защитить файл .htaccess и скрыть каталоги от просмотра
Рекомендую вам скрыть каталоги сайта от свободного просмотра, а также защитить файл .htaccess. Также вы можете запретить выполнять различные запросы к сайту через адресную строку. Напоминаю, что данные действия могут вызвать конфликт с некоторыми плагинами и темами.
18. Запрещаем запись файлов wp-config.php и .htaccess
Некоторые пункты были по умолчанию выполнены, поэтому предлагаю вам выполнить наиболее важный 18 пункт защиты, который поможет запретить перезапись файлов wp-config.php и .htacces. Этот пункт очень важен, потому что от сохранности файлов wp-config.php и .htacces может зависеть работоспособность вашего сайта.
20. Переименовать папку с содержимым wp-content
Также вы можете переименовать папку с основным содержимым сайта wp-content. Нестандартное размещение файлов усложнит злоумышленникам доступ к ним.
21. Установка безопасного соединения с WordPress
Для работы с WordPress вы можете использовать безопасное соединение SSL, но для начала удостоверьтесь, что данный протокол поддерживается сервером, на котором размещается ваш сайт.
Вот таким образом, с помощью плагина "better wp security" вы можете защитить WordPress от базовых угроз, вирусов и атак.